程序员经验分享-hwhale

使用同站cookie属性防止CSRF

2023-12-03

我在网上冲浪,发现了一篇文章使用同站cookie属性防止CSRF.

在链接维护时,我们需要添加 Set-Cookie 标头。

设置-Cookie:键=值;仅 Http; SameSite=严格

现在我的问题是,我想在我的 ASP.NET 站点中的所有 Cookie 和身份验证 Cookie 中进行设置。 我尝试使用 IIS 的标头来设置此值,但有人说这是错误的实现方式。

我也在下面尝试过。

HttpCookie newAuthenticationCookie = new HttpCookie(FormsAuthentication.FormsCookieName
                    , FormsAuthentication.Encrypt(newAuthenticationTicket))
                {
                    HttpOnly = true
                };
newAuthenticationCookie.Values.Add("SameSite", "strict");

但似乎对我没有帮助。

请建议我一个更好的方法来做到这一点。

Thanks.


深入审查后HttpCookie 源确认我们无法使用代码执行此操作,因为无法在 Cookie 上添加额外的属性,并且类被标记为密封。

但无论如何我仍然通过修改来管理解决方案网络配置如下。

<rewrite>
  <outboundRules>
    <rule name="Add SameSite" preCondition="No SameSite">
      <match serverVariable="RESPONSE_Set_Cookie" pattern=".*" negate="false" />
      <action type="Rewrite" value="{R:0}; SameSite=strict" />
      <conditions>
      </conditions>
    </rule>
    <preConditions>
      <preCondition name="No SameSite">
        <add input="{RESPONSE_Set_Cookie}" pattern="." />
        <add input="{RESPONSE_Set_Cookie}" pattern="; SameSite=strict" negate="true" />
      </preCondition>
    </preConditions>
  </outboundRules>
</rewrite>

这个添加SameSite=严格在各个设置Cookie.

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

aspnet

IIS

cookies

CSRF

使用同站cookie属性防止CSRF 的相关文章

  • 如果浏览器在 asp .net 中关闭,请从浏览器中注销?

    我的要求有点复杂 用户正在使用 Web 浏览器访问数据库 而在访问数据库时 如果用户关闭活动页面而不是注销会话 该会话需要自动注销 有人可以指导我如何做这个吗 我在母版页中使用了jquery onbeforeunload 我收到消息离开页面

  • 我的机器密钥是自动生成的还是隔离的?

    我正在尝试分享 ASPXAUTHASP NET MVC 4 应用程序 在 IIS 7 5 中 和使用的服务之间的 cookieHttpListener在同一主机上 浏览器正确地向两者呈现 cookie 但我的服务收到System Web H

  • 获取 SignalR hub 内的完整 URL

    我正在使用 SignalR 开发一个用户跟踪解决方案 作为学习 SignalR 的有趣项目 用于 ASP NET MVC 应用程序 目前我可以跟踪登录的用户以及他们在特定页面上停留的时间 如果他们移动到另一个页面 我也会跟踪该页面 并且 S

  • 使用 AJAX 或多线程加速页面加载

    我的页面有 5 个部分 每个部分大约需要 1 秒来渲染 Page Load RenderSection1 1 sec RenderSection2 1 sec RenderSection3 1 sec RenderSection4 1 se

  • 从呈现的控件 ID 中删除 ctl00$ContentBody$

    我对现有的应用程序进行了一些更改 该应用程序以前只是简单的 HTML 和 Javascript 为了添加服务器端功能 我选择了 ASP NET 并利用了母版页概念 不幸的是 在一个巨大的 Web 表单上 控件 ID 全部被 ctl00 Co

  • 在 ASP.Net 网站中使用 VBScript 中的变量

    我花了一天的大部分时间来研究这个问题 但找不到答案 我对 stackoverflow 比较陌生 询问多个问题是否有一定的礼仪 过去几天我问了三个问题 Anyways 这是代码隐藏文件中的代码 它执行脚本 systeminfo vbs 并且工

  • ASP.NET 更改模板字段中 Gridview 单元格中的文本和颜色

    我在 ASP net 中有 Gridview 显示数据 根据数据 它会根据单元格的值更改颜色和文本 当列不是模板字段时 这可以正常工作 WORKS WHEN IS NOT A TEMPLATE FIELD if e Row RowType

  • ASP.NET MVC ActionFilterAttribute 在模型绑定之前注入值

    我想创建一个自定义操作过滤器属性 该属性在模型绑定期间可访问的 HttpContext 项中添加一个值 我尝试将其添加到 OnActionExecuting 中 但似乎模型绑定是在过滤器之前执行的 你知道我该怎么做吗 也许模型绑定器中有一个

  • jQuery UI 对话框 + 验证

    我在单击 保存 后使用 Jquery Validate 验证 jQuery UI 对话框时遇到问题 这是我创建 Jquery 对话框的代码 它从目标 href URL 加载对话框 document ready dialogForms fun

  • 序列包含多个元素

    我在通过 Linq 获取 RhsTruck 类型的列表并显示它们时遇到一些问题 RhsTruck 只有属性 品牌 型号 序列号 等 RhsCustomer 具有 CustomerName CustomerAddress 等属性 我不断收到错

  • 使用 Kentor.AuthServices.StubIdp 作为生产 IDP

    我正在尝试在我的应用程序中实现 IDP SAML2 服务器 鉴于我的应用程序拥有所需的所有数据 我不希望我的任何合作伙伴要求我们的客户在他们这边注册 我对 SAML2 协议不是很熟悉 我找到了这个项目Kentor AuthServices

  • Android 手机作为 GSM 调制解调器在 PC 上发送/接收短信?

    是否可以将 Android 移动设备用作 PC 上的 GSM 调制解调器 我正在 net下开发应用程序来发送 接收短信等 现在我想通过 USB 将我的 Android 设备连接到我的 PC 并将其用作 GSM 调制解调器来与其通信 这里是参

  • 如何使用 ViewBag 创建 BaseController

    我需要执行以下操作 我已经准备好一些控制器并正在运行 但现在我想创建一个BaseController 我的每一个Controllers应该像这样继承它 public class MySecondController BaseControll

  • ASP.NET Click() 事件在第二次回发时不会触发

    我有一个 ASP NET Web 表单 我第一次提交表单时 会引发 提交按钮单击 事件 表单返回到浏览器时可能会出现验证错误 或者可以选择使用新值再次提交表单 当再次提交表单时 提交按钮单击 事件永远不会触发 Page Load 触发 但按

  • IIS/ASP/ASP.net:如何构建网站以公开移动版本

    假设我有一个现有的网站 例如 www stackoverflow com 我现在想公开该网站的移动版本 m stackoverflow com IIS 及其主机头名称解析通常需要two要创建的网站 www stackoverflow com

  • 有条件地忽略属性序列化

    我有一个 Asp Net WebApi 项目 我想返回 Json 格式的产品列表和一个特定产品 这是我的产品型号 public class Product public int Id get set public string ShortS

  • 处理长时间运行的报告

    我正在开发一个用 C 和 Sql Server 2000 数据库编写的 ASP net 应用程序 我们有多个 PDF 报告供客户用于满足其业务需求 问题是这些报告需要一段时间才能生成 gt 3 分钟 通常最终发生的情况是 当用户请求报告时

  • ASP.Net 会话中的数据表

    我必须向用户显示在 Asp net Gridview 示例中输入的参数 一些来自下拉列表文本框和 startDate EndDate 等的值 我从用户那里获取这些值并将它们添加到临时 dataTable 中 我在每次添加按钮调用时将每一行添

  • Medium Trust 中允许哪些反射权限?

    我想问一下Medium Trust中允许使用哪些方法 类 例如 这些方法是否被允许 获取属性 获取方法 激活器 CreateInstance 汇编版本 程序集名称 名称 请告诉我哪些方法是允许的 GetMethods 和 Activator

  • 批量插入,asp.net

    我需要获取与会员相对应的 ID 号列表 在任何给定时间处理的数量可能在 10 到 10 000 之间 我可以毫无问题地收集数据 解析数据并将其加载到 DataTable 或任何内容 C 中 但我想在数据库中执行一些操作 将所有这些数据插入表

随机推荐

  • 嵌入式系统上的 C++ 动态代码注入

    我正在寻找以下问题的解决方案 开发了在嵌入式设备上运行的 C 软件模块 无法使用基于文件的函数 dlopen 来加载共享库 当模块运行时 它应可通过动态程序代码进行扩展 动态代码在PC系统上编写 接口功能的实现 和交叉编译 gcc 然后通过

  • 如何用两种颜色填充 JavaFX 球体

    如何用像 2d 圆一样的线性渐变填充 JavaFX 3D 球体 我使用 JavaFX 场景生成器 正如 mohsenmadi 所指出的 漫反射颜色不允许您使用除一种单一颜色之外的其他颜色 但是 通过使用图像作为漫反射贴图 您可以在球体上拥有

  • 为什么我没有收到“分段错误”? [复制]

    这个问题在这里已经有答案了 可能的重复 当我写入超出数组末尾时 为什么不会出现分段错误 这段代码编译并运行没有任何错误 但如何呢 include

  • Django ModelChoiceField 使用来自一个模型属性的不同值

    所以我正在开发一个 Django 应用程序 其中有一个模型事件 每个事件都有一些属性 其中之一是 主机名 我将在整个过程中使用它作为示例 我需要实现搜索功能 用户可以搜索具有主机名 some value 的所有事件 例如主机名 myhost

  • 使用 JDBC 驱动程序连接 MATLAB 和 MySQL

    我买了 Yair Altmam 写的 Undocumented MATLAB 一书 在本书的第 2 2 章中 他讨论了数据库连接以及使用 JDBC 连接到数据库 我按照书上的步骤和文字进行操作 我下载了 mysql connector ja

  • 特定文件夹的错误报告

    有没有办法设置error reporting E ALL 对于特定目录而不是将其包含在每个文件中 我想为我的 beta mysite com 启用错误报告 您可以在 Apache 中使用 htaccess 文件 只需添加这一行 php va

  • 使用龙卷风网络服务器运行 hello world 时出现问题(Python 2.5,Windows 7)

    我在 Windows 7 64 位 上使用 Python 2 5 我安装了 pycurl 7 15 5 1 带有 win 二进制文件 和tornado 使用 pip 当我运行以下 hello world 代码时 import tornado

  • C++ 文件处理:ios::app 和 ios::ate 之间的区别?

    有什么区别ios ate and ios app写入文件时 在我看来 ios app使您能够在文件中移动 而ios ate它只能在文件末尾读 写 它是否正确 事实恰恰相反 什么时候ios ate设置后 初始位置将是文件末尾 但此后您可以自由

  • Graphics.DrawString 打印文档宽度的中心

    我正在尝试将字符串放在打印文档的中心 我已经对图像执行了以下操作 它可以工作 但对于字符串似乎不起作用 这是我用来使图像居中的代码 e Graphics DrawImage logo e MarginBounds Width 2 logo

  • process.communicate 和 getche() 失败

    我正在尝试自动执行用 C 编写的交互式命令行工具 启动时 二进制文件等待字母 S Q 或 P 状态 退出或暂停 它使用非标准 msvcrt 函数 getche 来获取击键 而不是例如 gets 而无需用户按 Enter 键 我尝试以标准方式

  • 使用 Automator.app 逐行读取文本文件

    我是编码新手 所以请耐心等待 我已经使用 Automator OSX 创建了一个工作流程 效果很好 我遇到的唯一问题是我希望它在多个输入上运行 即作为批处理 我已经插入了循环操作 但我遇到的问题是每次更改初始输入 我想使用 applescr

  • 在 android 中命名我的应用程序

    我想我已经老了 因为我确信要给你的应用程序命名 你必须填写清单的这一部分

  • 搜索包含单词组合的单元格

    我正在尝试找到一种方法来搜索包含任意顺序的多个单词的单元格 示例 在输入框中我输入 搜索单词 我现在想要搜索包含这三个单词的单元格 尽管它们不必按该顺序出现 也不必彼此相邻 希望你明白我的意思 我有这段代码 可以很好地找到一个单词 但我被困

  • XGBoost。如何从 xgb.dump 获取类别概率(multi:softprob 目标)

    我使用 XGBoost 进行了 3 类分类预测 下一步是获取树模型 由 xgb dump 打印 并在 net 生产系统中使用它 我真的不明白如何从休假中的单个值中获得 3 维概率值 code 1107 booster 148 0 f24 l

  • 为什么即使在这段代码中,该脚本也会影响我的 Rails 3 应用程序上的所有内容?

    我有一个第三方脚本 该脚本的作用是在图像上添加水印以表明它受版权保护 这是我在视图中使用的代码 但无论如何 该脚本适用于所有帖子 当我仅使用文本测试它时 它工作正常

  • EC2 的标签强制执行 - AWS

    我想为 EC2 强制执行标签 这意味着 如果没有某些标签 则不应允许启动 EC2 实例 我有一个使用 IAM 策略的解决方案 但我不希望它与 IAM 策略一起使用 寻找其他方法来强制执行标签 请指教 Thanks 我你的账户是AWS 组织的

  • JAX-WS WebServiceContext 保持为 null(注释注入失败)

    我尝试将我的应用程序部署到 Tomcat 6 with Metro Jersey 和 Glassfish 3 1 2 但访问 WebServiceContext 资源总是会导致空指针异常 except当我使用自动生成的 Glassfish

  • 将对象数据从一个活动传输到另一活动

    我有一个 EmployeeInfo 类 如下所示 public class EmployeeInfo private int id Employee ID private String name Employee Name private

  • Actionscript 3.0:为什么将移动对象的代码与对象本身分离是个好主意(例如 Ball 和 Ball Mind)

    我的问题几乎就在标题中 为什么我一直在 ActionScript 3 0 中阅读 在编写代码时将 思想 与 对象 分开是一个好主意 感谢您的帮助 这让我很困惑 如果你问为什么图形与定位 运动和物理分离 拿我画的这棵树来说 在树上你会看到En

  • 使用同站cookie属性防止CSRF

    我在网上冲浪 发现了一篇文章使用同站cookie属性防止CSRF 在链接维护时 我们需要添加 Set Cookie 标头 设置 Cookie 键 值 仅 Http SameSite 严格 现在我的问题是 我想在我的 ASP NET 站点中的

热门标签